黑暗“天使”：Angel Drainer 钓鱼团伙深度技术剖析

查找币:余老师 | 漏洞披露 | 2026-05-09 22:39 | 3 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

> 查找币安全团队 | 威胁情报分析 ## 一、事件概述自2022年以来，加密货币领域涌现出多个以“Drainer”为名的专业钓鱼团伙。从利用社交工程窃取Discord Token的Pink Drainer，到通过Permit/Approve机制盗取资产的Venom Drainer，再到伪造KOL账号分发恶意Mint链接的Monkey Drainer（已窃取数千万美元），以及专注多链诈骗的Inferno Drainer——这些团伙构成了加密世界暗流涌动的主要威胁源。然而，随着部分Drainer退出历史舞台，一个长期潜伏的钓鱼团伙——**Angel Drainer**，通过近期两起重大DNS劫持事件浮出水面，成为行业焦点。 ## 二、核心攻击事件技术分析 ### 事件一：Balancer DNS劫持攻击（2023年9月19日） Balancer紧急发布警告，要求用户立即停止访问官方网站。攻击者通过DNS劫持篡改前端页面，植入恶意JavaScript代码，诱导用户签署“Approve”交易，随后通过`transferFrom`函数将受害者钱包中的资产转移至攻击者控制的地址。 **技术细节：** - 恶意脚本路径：`app.balancer.fi/js/overchunk.js` - 攻击流程：用户连接钱包 → 脚本自动检测余额 → 触发钓鱼签名请求 → 资产被窃取 - 被盗金额：至少35万美元 - 溯源线索：攻击者地址与Angel Drainer存在资金关联，疑似与俄罗斯黑客组织有关 ### 事件二：Galxe DNS劫持攻击（2023年10月6日） Galxe用户反映，在授权签名后钱包资产被盗。调查显示，攻击者冒充Galxe授权成员，通过伪造文档绕过域名服务商Dynadot的安全流程，获取DNS账户控制权，将用户重定向至恶意网站。 **攻击数据：** - 受影响用户：约1120人 - 被盗金额：约27万美元 - 攻击手法：社会工程学攻击 + DNS劫持 + 虚假签名诱导 ## 三、Angel Drainer团伙技术画像 ### 3.1 攻击基础设施根据查找币合作伙伴ScamSniffer数据，Angel Drainer团伙已针对加密行业部署**超过3000个钓鱼域名**，最早域名注册可追溯至2023年1月。典型域名示例： - `blur[.]app-io.com.co`（仿冒Blur NFT市场） - `unsiwap[.]app.se.net`（通过调换字母顺序仿冒Uniswap） - 仿冒项目：Fight Out（Web3游戏）、RevokeCash、Gemini、Stargate Finance等 ### 3.2 资金流转模式通过查找币追踪系统分析，发现核心钱包地址`0x00002644e79602F056B03235106A9963826d0000`关联107个钓鱼网站。向前追溯至`0xe995269255777303Ea6800bA0351C055C0C264b8`（标记为Fake_Phishing76598），该地址关联17个钓鱼网站，主要针对NFT项目Pollen和Arbitrum公链。 ### 3.3 技术特征总结 | 特征维度 | 具体表现 | |---------|---------| | 攻击入口 | DNS服务商社会工程学攻击 | | 恶意载荷 | 前端JavaScript脚本，动态检测用户余额 | | 签名诱导 | 利用Permit/Approve机制获取授权 | | 资产转移 | 通过`transferFrom`函数批量转移 | | 域名策略 | 大规模部署仿冒域名，混淆字母顺序 | ## 四、威胁风险评估 Angel Drainer团伙的威胁具有以下特点： 1. **高隐蔽性**：通过劫持正规项目DNS，利用用户对官方域名的信任 2. **规模化运营**：已建立超过3000个钓鱼域名的基础设施 3. **技术迭代**：从早期单一NFT钓鱼扩展到多链、多协议攻击 4. **资金链路复杂**：通过多层地址混淆，增加追踪难度 ## 五、防护建议与最佳实践 ### 5.1 用户层面 - **交易预执行机制**：使用支持交易模拟的钱包（如Rabby、MetaMask的模拟功能），在签名前预览交易执行结果 - **地址验证**：转账时检查完整地址，警惕尾号相同的诈骗地址 - **白名单机制**：将常用地址加入白名单，避免误操作 - **权限管理**：定期使用Revoke.cash等工具撤销不必要的合约授权 ### 5.2 项目方层面 - **域名安全审计**：启用DNSSEC、设置域名转移锁、使用多因素认证 - **DNS监控告警**：部署DNS变更实时监控系统 - **前端安全加固**：实施内容安全策略（CSP）、子资源完整性（SRI）检查 - **应急响应预案**：建立DNS劫持快速响应流程，包括域名恢复和用户通知 ### 5.3 行业协作 - **威胁情报共享**：通过AML合规系统交叉验证地址风险 - **地址黑名单**：项目方应及时拉黑恶意地址，阻断资金流动 - **跨机构联动**：打破数据孤岛，识别跨平台洗钱团伙 ## 六、查找币安全团队建议 Angel Drainer团伙的攻击手法揭示了当前Web3生态在域名安全、前端防护和用户教育方面的系统性脆弱性。作为项目方，应建立从DNS到智能合约的多层安全防线；作为用户，需培养“签名即授权”的风险意识，使用具备交易模拟和安全提醒功能的工具。查找币追踪系统已积累超过2亿个地址标签，涵盖1000+地址实体、10万+威胁情报数据和9000万+风险地址，可帮助项目方和用户实时识别恶意地址，防范钓鱼攻击。 --- > **本文由查找币安全团队整理发布** > > 查找币（CZB）作为行业领先的区块链安全公司，持续深耕威胁情报、安全审计与反洗钱追踪溯源服务。我们致力于构建安全透明的区块链生态，欢迎各机构接入我们的威胁情报网络。

黑暗“天使”：Angel Drainer 钓鱼团伙深度技术剖析

查找币安全研究院

主题延伸阅读